Het verschil tussen een cybercrimetool hebben en cybercrime plegen

Met enige regelmaat zie ik discussie en zorgen over het gebruik van tools waarmee je (ook of alleen maar) computergerelateerde misdrijven kunt plegen. Meestal gaat het dan over scanners om zwakheden in systemen op te sporen, of stresstesters waarmee je ook ddos-aanvallen kunt plegen. Het jargon is altijd heerlijk neutraal dan, en logisch want het hebben of aanbieden van tools die bestemd zijn voor misdrijven is strafbaar. En nu was er een jongen die een tool had voor het omzeilen van antivirussoftware, dus dacht het OM: die pakken we daarop, daar heb je geen verhaal op. Maar toch werd dat een vrijspraak.

De verdachte had (zoals te lezen in het arrest) virussen en andere malware geüpload naar een betaalde internetdienst, Razorscanner genaamd. Deze controleert dan je upload met alle virusscanners ter wereld – zodat jij weet of je malware daar voorbij zou komen. Zeer geruststellend voor de klant wordt tevens gemeld dat “De maker van Razorscanner garandeert dat de gegevens met betrekking tot de in het programma geüploade bestanden niet aan de makers van anti-virusproducten worden doorgegeven.” (Ik zou het hilarisch vinden als achteraf blijkt dat ze dat wel deden.)

Aanverwant is de dienst Razorcryptor, die malware kan verstoppen door het bijvoorbeeld te koppelen aan andere software. Deze dienst werd samen met Razorscanner aangeboden, op basis van pay-as-you-go met vooraf gekochte credits. De verdachte had credits gekocht, maar stelde alleen met Razorscanner te hebben gewerkt.

Het Hof begint met vaststellen wat er nu precies strafbaar is, en daar kwamen we natuurlijk voor. Artikel 139ab Strafrecht lid 2 bepaalt:

Met dezelfde straf [als computervredebreuk, lid 1] wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid138b of 139c wordt gepleegd: a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft, of (…)
De discussie die we meestal hebben, is of een bepaalde tool ontworpen is voor het plegen van computervredebreuk of de andere genoemde cybercrimedelicten. Een security scanner heeft ook legitieme doelen, denk aan een bedrijfsnetwerk dat je controleert op brakke byod-apparaten of een onderzoek voor je ISO certificering.

Het Hof heeft er geen moeite deze scandienst te zien als hulpmiddel voor het plegen van computervredebreuk. Je kunt nu je malware (waarmee binnendringen vaak gepleegd wordt) beter afstemmen op het omzeilen van de antivirussoftware van organisaties. Dat is dus effectieve hulp, en duidelijk enkel en alleen bestemd voor computervredebreuk. Verzin maar eens een legitieme reden waarom je zou willen dat iets een virusscanner omzeilt.

Maar het artikel kent nóg een bepaling, namelijk dat je dat hulpmiddel voorhanden hebt met het oogmerk dat daarmee computervredebreuk wordt gepleegd. Oftewel, dat je als verdachte ook echt dat misdrijf ging plegen. Enkel dat je het hulpmiddel hebt, is dus niet genoeg. Misschien had je het per abuis, misschien was je het als journalist of researcher aan het uitpluizen, of misschien was je gewoon nieuwsgierig.

Nee, dat laatste vind ik ook geen héle sterke. Maar tot mijn verbazing zag het Hof hier dat -even kort gezegd- wél aanwezig.

De verdachte heeft ter terechtzitting in hoger beroep verklaard dat hij tijdens zijn middelbareschoolperiode geïnteresseerd is geraakt in de werking van malware en de detectiemogelijkheden van anti-malwareprogramma’s. Onder andere met behulp van MSFencode verstopte de verdachte malware in bestanden en uploadde deze bestanden naar onder meer Razorscanner. Ook testte hij bestanden die hij vond op internet. …
Een concrete aanwijzing was nog dat hij dezelfde malware meerdere malen uploadde, maar nooit malware had gewijzigd nadat de scanner had gezegd dat deze wel gedetecteerd zou worden. Daarom
kan aan de inhoud van het strafdossier en de hiervoor weergegeven informatie geen bewijs worden ontleend dat de verdachte bestanden met daarin malware naar Razorscanner heeft geüpload louter met de bedoeling te vermijden dat de omstandigheid dat de daarin aanwezige malware door geen enkele of slechts een beperkt aantal anti-malwareprogramma’s detecteerbaar was, ter kennis zou worden gebracht van de producenten van dergelijke scanners.
Er is sprake van een geloofwaardige weerlegging die de verdenking ontkracht, aldus het Hof. Dit is niet alleen maar een “nee ik was gehackt” of “ik wilde alleen maar controleren of internet tegen een ddos kon”, hier is een onderbouwing gegeven die past bij de persoon en de feiten die zijn gevonden. (Wie nu denkt, ik verzin op dat moment ook wel een leuk verhaal dat past bij de feiten – de politie heeft meer feiten dan jij denkt, deelt niet alles met je en hangt je, terecht, op aan je leugens.) De verdachte gaat dus vrijuit.

Arnoud

 

11 reacties

  1. Ik mis nog wel wat:

    1) Als je geen kwade bedoelingen hebt, waarom dan niet een legit dienst als virustotal.com gebruiken? 2) Meerdere keren dezelfde malware uploaden: was diezelfde malware misschien steeds op verschillende manieren verstopt in verschillende type bestanden om te kijken of er toch een variant doorkwam? 3) Zat er zelf geschreven malware bij? 4) Zat er malware bij die direct persoonlijk door de jongen in kwestie kon worden gebruikt om er zijn voordeel mee te doen (bijvoorbeeld ransomware met verwijzing naar zijn eigen bitcoin account)?

    Antwoorden hierop zou ik wel willen hebben voordat ik een vonnis zou wijzen…

      1. De persoon in kwestie is een amateur met interesse voor virussen. met google vond hij deze site en niet virustotal.com. Gezien de strekking van de blog post past dit prima bij het gevoel wat ik van de persoon krijg.
      2. Dat verandert toch helemaal niets aan het verhaal dat hij nieuwsgierig was, past er perfect in.
      3. en 4. Als daar bewijs voor was dan had het OM dat moeten aandragen, het is niet aan de rechter om daar om te vragen. Het OM is ook niet gek, het zou me dus zeer verbazen als dit er was.
      1. Met mijn post bedoel ik dat de technische onderbouwing van het vonnis bijzonder dun is en het geschetste beeld van de jongen vooral ‘hear-say’ is vanuit de jongen zelf. Als het OM of Hof het soort punten dat ik heb genoemd zou hebben onderzocht en daarop concludeert dat daarin niets is gevonden dat alsnog belastend zou kunnen zijn, dan vind ik het totaal van argumenten wat daarmee ontstaat een veel sterkere basis voor het huidige vonnis.

      2. “Ook testte hij bestanden die hij vond op internet. De verdachte bekeek verschillende alternatieve testmogelijkheden, waaronder het hiervoor genoemde Virustotal. De verdachte verkoos Razorscanner boven Virustotal, omdat Razorscanner een groter aantal anti-malwareprogramma’s in de scans betrok”

        Staat in het vonnis. Is overigens in 2014/2015 gebeurt en razor is uit de lucht gehaald door de duitse politie dus lastig om dat verder uit te pluizen. Er staat ook nog een stukje over bestanden die zowel naar razor als total gestuurd zijn.

        Edit: ondertussen ben je wel weer 4 jaar verder

        “Het hof komt daarmee tot de conclusie dat de uitleg die de verdachte heeft gegeven over zijn bedoelingen met de scans via Razorscanner niet wordt weersproken door de inhoud van het strafdossier en de hiervoor weergegeven informatie. Er is sprake van een geloofwaardige weerlegging die de verdenking ontkracht. Bij die stand van zaken komt het hof tot het oordeel dat niet kan worden bewezen dat de verdachte met het gebruik van Razorscanner het oogmerk heeft gehad daarmee computermisdrijven te plegen. De verdachte dient daarom van het hem ten laste gelegde vrijgesproken te worden.”

  2. Mag ik het zo samenvatten: Het hebben en bouwen van software die een DDOS aanval (of andere cyber ongein) kan doen is verboden, tenzij er overduidelijk bewijs is dat jouw software niet bedoeld was voor verspreiding en criminele toepassing door jou of derden. In geval je een beveiligingsbedrijf hebt, een onderzoek doet, en je inzake je bedrijfsvoering of onderzoek wel moet kunnen testen of jouw maatregelen helpen de impact van de aanval te verminderen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.